マイクロソフトは、オープン リダイレクタ リンクを利用した広範囲にわたる認証情報フィッシング キャンペーンを追跡していると警告すると同時に、そのような計画に対する防御が可能だと示唆している。
「攻撃者はこれらのリンクを、よく知られた生産性ツールやサービスを装ったソーシャルエンジニアリングの餌と組み合わせ、ユーザーをクリックさせるように誘導する」と同社のMicrosoft 365 Defender脅威インテリジェンスチームは木曜日のブログ投稿で述べた。
「そうすることで、一連のリダイレクトが発生します。これには、正当性を与え、一部の自動分析システムを回避しようとする CAPTCHA 検証ページが含まれます。その後、ユーザーは偽のサインインページに誘導されます。」
オープン リダイレクトとは、Web アプリケーションが HTTP パラメータにユーザー指定の URL を含めることを許可し、HTTP 要求が参照先のリソースにリダイレクトされるようにすることです。
マイクロソフトは、オープンリダイレクトには正当な用途があると主張し、営業やマーケティングキャンペーンにおいて顧客を特定のランディングページに誘導したり、ウェブ指標を収集したりするためにオープンリダイレクトを利用していることを指摘しています。しかし、オープンリダイレクトは悪用されることも少なくありません。
同社によると、このキャンペーンのメッセージは共通のパターンを辿る傾向があるという。以下のような、いくつかの一般的な件名が使われている。
- [受信者のユーザー名] 1 件の新しい通知
- [受信者ドメイン名] の [日時] のステータスを報告します
- [受信者ドメイン名] の Zoom ミーティング ([日時])
- [受信者ドメイン名] の [日時] におけるステータス
- [受信者ドメイン名] への [日時] のパスワード通知
- [受信者のユーザー名] eNotification
メッセージを開くと、通知メッセージと称するボタンが表示されます。このボタンは信頼できるドメインにリンクされており、リダイレクトパラメータが付加されています。これは、マウスポインタをボタンの上に置いた際にURL全体が一瞬表示されるなど、一見して本物らしく見えるように意図されています。
クリックして拡大
URL と追加されたパラメータの仕組みを理解している人なら騙されることはないでしょうが、あまり詳しくないユーザーは、最初に信頼された URL を見て、リクエストに追加されたすべてのパラメータ データについて気にせず、すべてが順調であると想定する可能性があります。
安全性と正当性という幻想をさらに広めるために、リダイレクトによって被害者は Google reCAPTCHA ページに移動します。Microsoft は、これがリダイレクトの最後でフィッシング ページの動的スキャンとコンテンツ チェックを妨害する役割も果たしていると推測しています。
CAPTCHA パズルを無事に完了し、フィッシング詐欺師に自分が正当な標的であることを証明できた人には、Microsoft Office 365 などの既知の正当なサービスを装った Web サイトが表示されます。そして、その詐欺サイトには、フィッシング URL のパラメータとしてフィッシング ページに渡されたターゲットのメール アドレスが読み込まれます。また、多くの場合、ログイン ページが一般的なシングル サインオン動作を実装しているように見せるため、企業ロゴやその他のブランドも表示されます。
被害者がパスワードを入力しても、それで終わりではありません。ページが更新され、セッションがタイムアウトしたことを示すエラーメッセージが表示され、訪問者はパスワードを再度入力するよう指示されます。これは、スパム対策法の遵守を保証するためにメールマーケティングリストサービスで用いられるダブルオプトインの儀式と似たようなデータ検証手法です。
フィッシングの被害者は、パスワードを確認するだけの親切心と引き換えに、正当な Sophos セキュリティ Web サイトにリダイレクトされ、取得するように通知された電子メール メッセージが公開されたという誤った情報を受け取ります。
- 報告書は、フィッシング、RDPサーバーの認証情報の盗み取りなど、REvilの驚くほど単純な戦術を明らかにしている。
- セキュリティ研究者は、ロシア政府への攻撃には中国の痕跡があり、タイプミスもあると述べている
- スパムはチポトレの秘密の材料:マーケティングメールが乗っ取られてマルウェアを撒き散らす
- マイクロソフトはルートキットマルウェアを仕掛けたWindowsドライバを承認した
マイクロソフトは、このキャンペーンに関与した少なくとも350の固有のフィッシングドメインを検出したと述べています。この手口は、さらにその規模をはるかに超える可能性があります。リダイレクトURLは、必要に応じてフィッシングドメインをリアルタイムで生成するドメイン生成アルゴリズムによって生成されています。
この仕組みは高度に聞こえるかもしれませんが、Microsoftは、Defender for Office 365ソフトウェアにはすべてのリダイレクトリンクを検査するサンドボックスが組み込まれているため、十分な保護機能を提供していると主張しています。Defenderは「ランディングページでCAPTCHA認証が必要な場合でも」このサンドボックス機能を実行すると謳っていますが、これは人間による操作と自動化された操作を区別する手段としてのCAPTCHAに対する信頼性を必ずしも高めるものではありません。
そうだとすれば、なぜマイクロソフトはわざわざ警鐘を鳴らすのだろうか?レドモンドによると、サイバー攻撃の91%はメールから発生しているという。フィッシング詐欺は依然として有効であり、それを指摘することでセキュリティを売り込むのも有効だ。®
